21 de agosto de 2013

IBM WebSphere Application Server MÚLTIPLES VULNERABILIDADES

Anunciadas múltiples vulnerabilidades en IBM WebSphere Application Server (versiones 6.1, 7, 8 y 8.5) que podrían permitir a un atacante remoto obtener información sensible, realizar ataques de cross-site scripting o denegaciones de servicio.
IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.
Recomendaciones
  1. Para WebSphere Application Server 8.5 a 8.5.0.2 se recomienda instalar el Fix Pack 8.5.5 (8.5.5.0) o posterior.
  2. Para WebSphere Application Server 8.5 a 8.5.5.0 se recomienda instalar el Fix Pack 8.5.5.1 (8.5.5.1) o posterior (disponible el 28 de octubre de 2013).
  3. Para WebSphere Application Server 8.0 a 8.0.0.6 se recomienda instalar el Fix Pack 7 (8.0.0.7) o posterior.
  4. Para WebSphere Application Server 7.0 a 7.0.0.27 se recomienda instalar el Fix Pack 29 (7.0.0.29) o posterior.
  5. Para WebSphere Application Server 6.1.0 a 6.1.0.45 se recomienda instalar el Fix Pack 47 (6.1.0.47) o posterior (disponible a mediados de septiembre de 2013).
Más información:
Fuente: Hispasec

ZEUS. Malware para crear “seguidores y likes" Falsos en Instagram

Hasta cinco veces más cotizan los seguidores inventados y “me gusta” falsos, que los números de tarjetas de crédito robados en los bajos fondos de la Red. 
La influencia de los medios sociales en el prestigio de personas y marcas, están haciendo que los ciberdelincuentes reinventen sus armas para obtener beneficios.
Como el malware Zeus, utilizado para robar datos de tarjetas de crédito y ahora, una vez modificado, es capaz de crear en Instagram falsos “me gusta”, que se venden en lotes de 1.000, por 30 dólares el paquete.
La misma cantidad de seguidores ficticios se puede adquirir por 15 dólares. Sin embargo, 1.000 números de tarjeta de crédito se pueden comprar por 6 dólares.
Según los expertos, esta variante de Zeus es la primera pieza de software malicioso descubierta hasta la fecha, empleada para publicar falsos “me gusta” en una red social.
Los equipos infectados estarían emitiendo preferencias de usuario falsas, gobernados por un ordenador central. 
Motivos para pagar por falsos seguidores
  • Por extraño que parezca, que falsear los medios sociales cotice más que números de tarjetas de crédito reales,  lo cierto es que los expertos en mercadotecnia aseguran que hay personas dispuestas a gastar dinero en hacerse notar en la Red, bien por beneficio personal o comercial. 
  • También hay que tener presente que el empleo de un número de tarjeta robado está tipificado como delito y el seguimiento ficticio por el momento no lo es.
Más información
Reuters  http://www.reuters.com/article/2013/08/16/us-instagram-cyberfraud-idUSBRE97F0XD20130816
Fuente: Genbeta

Windows XP GRAVE PROBLEMA DE SEGURIDAD EN 2014

Microsoft alerta a los usuarios de Windows XP del mundo entero, que el soporte del sistema operativo finalizará en abril de 2014.
Microsoft dejará de publicar actualizaciones  para Windows XP, incluyendo parches de seguridad a partir del 8 de abril del próximo año.
La advertencia de Microsoft implica elegir entre : a) Actualizar a una versión posterior de Windows;   b) Aceptar que el sistema quede expuesto a intrusiones de todo tipo.
La lógica es simple:  los hackers tendrán acceso directo al sistema operativo desarticulando futuras actualizaciones de seguridad para versiones posteriores de Windows, y luego empleándolas contra XP.
“A partir de abril de 2014, los hackers intentarán detectar agujeros de seguridad en Windows XP, basándose en los parches para versiones posteriores de Windows. En caso que tales vulnerabilidades sean explotables, los usuarios se enfrentan a un gran riesgo, debido a que en Microsoft no las corregiremos”.
La explicación ha sido publicada por Tim Rain, ingeniero de Microsoft, en un artículo publicado en el blog oficial de la empresa bajo el título “El riesgo de utilizar Windows XP después que caduque el soporte en abril de 2014″.
A partir de esa misma fecha, el navegador Internet Explorer 6, que para entonces tendrá 12 años, también pasará a la cartera de productos desatendidos por Microsoft. Actualmente, Internet Explorer 6 es utilizado por el 6% de los usuarios de Internet en todo el mundo.
Estadísticas  uso Sistemas Operativos a Julio de 2013 según  NetApplications.
  1. Windows XP es utilizado por el 37,17% de los usuarios  
  2. Windows 7 lo utilizan 44,49%,
  3. Windows 8 con el 5,40%,
  4. Windows Vista, con el 4,24%,
  5. OS X 10.8, con el 3,28%
  6. Otros sistemas operativos que se reparten el 5,40%
Más información
Blog Microsoft  http://blogs.technet.com/b/security/archive/2013/08/15/the-risk-of-running-windows-xp-after-support-ends.aspx
Fuente: Diario Tecnológico

Cisco IOS XR Vulnerabilidad de Denegación de Servicio Local

Cisco anunció la vulnerabilidad (CVE-2013-3464) de denegación de servicio local que afecta a todos los dispositivos con Cisco IOS XR al enviar determinados mensajes ICMP.  
Impacto de la vulnerabilidad
Esta vulnerabilidad podría permitir a un usuario autenticado, atacante local, provocar una recarga del dispositivo afectado generando localmente algunos mensajes del Protocolo de mensajes de control de Internet (ICMP). 
Recomendación
Más información:
Cisco IOS XR Internet Control Message Protocol Denial of Service Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-3464
Fuente: Hispasec

Oracle BI Mobile App Designer. NUEVA HERRAMIENTA DE DISEÑO

La compañía ha anunciado Oracle BI Mobile App Designer, una nueva herramienta de diseño con la cual los usuarios de negocio pueden fácilmente crear interactivas aplicaciones analíticas para ser usadas en cualquiera de los principales dispositivos móviles.
Funcionamiento de la Aplicación
  • Un simple diseño de interfaz, basado en browser, de arrastrar y soltar permite a los usuarios de negocio combinar datos, textos, imágenes, gráficos visuales y tablas de multiples fuentes y crear aplicaciones móviles analíticas a medida de sus líneas de negocio.
  • Sin necesidad de instalar nada más, crear aplicaciones móviles analíticas profesionales resulta tan fácil como trabajar con herramientas comúnes de productividad de oficina.
Ventajas competitivas
  • Los usuarios de negocio pueden obtener instantanéamente una vista previa de sus aplicaciones móviles a través de un simulador móvil basado en web, o simplemente leer un código QR para ejecutar una aplicación al instante en sus dispositivos móviles.
  • Además, pueden colaborar y compartir fácilmente las aplicaciones de nueva creación a través de una biblioteca de aplicaciones, la cual sirve como repositorio de aplicaciones móviles analíticas para que los usuarios puedan suscribirse y recibir actualizaciones automáticas, lo que garantiza que los usuarios de la organización están accediendo a la información más actualizada.
  • Con el simple gesto de rozar, el análisis interactivo permite a los usuarios finales explorar visualizaciones que les permiten obtener información valiosa directamente desde sus dispositivos móviles. Los usuarios pueden analizar las oportunidades de venta y previsiones, los libros de perfiles de clientes actuales y efectuar un seguimiento del inventario en cualquier momento y lugar.
Configuración de Oracle BI Mobile App Designer
  • Las aplicaciones creadas con el diseñador Oracle BI Mobile App se ejecutan usando HTML5 sobre smartphones y tablets iOS, Android, y Windows Mobile. La representación automática para diferentes tamaños de pantalla asegura la visualización óptima con una escritura única, ejecutada en cualquier modelo.
  • El diseñador de aplicaciones Oracle BI Mobile App es un componente integral de Oracle Business Intelligence Foundation Suite, y también está disponible con la opción Oracle BI Mobile para Oracle BI Enterprise Edition. 
Más información
Fuente: Diario Tecnológico

Protocolo Universal de Sixnet CÓDIGOS DE FUNCIÓN NO DOCUMENTADOS

Los sistemas RTU de Sixnet tienen funciones no documentadas en el protocolo universal utilizado para la comunicación a la estación central. La vulnerabilidad se ha catalogado con nivel crítico.
Detalle de la vulnerabilidad
  • Existen seis funciones no documentadas en el protocolo universal utilizado en productos RTU de Sixnet que permitirían a un atacante obtener descriptores de archivo y tamaños, leer y escribir en archivos, crear nuevos o abrir un shell en el equipo de destino para la ejecución arbitraria código.
Impacto en el Sistema de la vulnerabilidad
  • Esta vulnerabilidad puede ser aprovechada disponiendo de acceso a la red donde se encuentran los dispositivos, y un atacante podría utilizar esta vulnerabilidad sin necesidad de estar autenticado en el dispositivo.
Recursos afectados
Productos Sixnet afectados :
  1. Versiones anteriores a UDR 2.0
  2. RTU firmware anterior a la versión 4.8
Recomendación
Más información
Fuente: INTECO

BIND 9 Deficiencia en Algoritmo SRTT Acelera Envenenamiento Caché DNS

Los investigadores Jonathan Kalechstein, Gabi Nakibly y Roee Hay presentaron  en la conferencia USENIX WOOT 13 de Washington un nuevo método para forzar en BIND la elección de servidor de nombres manipulando remotamente los valores de la caché SRTT. . ISC anuncia que el algoritmo será reimplementado para subsanar el fallo.
El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND tiene licencia BSD y se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows.
Envenamiento de caché DNS
  • Los ataques de envenenamiento de caché DNS tratan de engañar al resolvedor de nombres de dominio para que guarde un registro de recursos incorrectos o inválidos.
Impacto en el Sistema de la vulnerabilidad
  • Como consecuencia principal, acelera un posible ataque de envenenamiento de la caché del DNS. Ya que el atacante elimina uno de los valores que se deben averiguar para que la respuesta falsificada del atacante sea tomada por válida.
  • Por otro lado, si fuerza el tráfico por una ruta donde lo esté capturando mediante un ataque hombre en el medio puede ver las peticiones DNS, y por tanto los valores aleatorios de estas. Con estos valores, puede construir una respuesta y suplantar al servidor legítimo.
  • Otra opción es forzar el tráfico DNS no hacia un servidor que controlemos, si no hacia uno sobre el que queramos realizar una denegación de servicio.
Recursos afectados
  • El fallo, que afecta a las versión 9 de BIND sea en configuración autoritativa, recursiva o híbrida, ya ha sido reconocido por ISC.
  • El algoritmo será reimplementado en futuras versiones de BIND.
Más información:
Fuente: Hispasec